Re: [CentOS-es] iptables + squid proxy transparente
Yo te recomendaria reducir tu squid.conf, para que puedas ubicar mas rapido las lineas y entiendas su configuracion, la config que te pego aqui es teniendo en cuenta que la tarjeta de red que da a ala red internta tiene la ip 10.0.0.1: # acl all src all acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl CONNECT method CONNECT acl localnet src 10.0.0.0/24 access_log /var/log/squid/access.log squid http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localnet http_access deny all icp_access allow localnet icp_access deny all http_port 10.0.0.1:3128 transparent cache_mem 8 MB cache_dir ufs /var/spool/squid 100 16 256 minimum_object_size 0 KB maximum_object_size 4096 KB cache_swap_low 90 connect_timeout 2 minutes espero te sirva.. Un abrazo Aland Laines Calonge Tecnico en Informatica Lima - Perú lainessoluciones.net El 6 de abril de 2011 15:43, Mario Villela Larraza mario.villelalarr...@gmail.com escribió: una disculpa por el tiempo de ausencia el trabajo me tapo pero ya estoy de regreso aqui anexo el contenido de squid.conf El 5 de abril de 2011 17:39, Ramón Macías Zamora ramon.mac...@raykasolutions.com escribió: podrías enviar el contenido de /etc/squid/squid.conf ? -- Ramón Macías Zamora Tecnología, Investigación y Desarrollo Guayaquil - Ecuador msn:ramon_mac...@hotmail.com skype: ramon_macias UserLinux# 180926 (http://counter.li.org) Cel:593-8-0192238 Tel:593 4 6044566 http://www.raykasolutions.com/ WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES LINUX, SOPORTE. 2011/4/5 Maximo Monsalvo max...@yahoo.com.ar On Lun 04 Abr 2011 23:44:41 Mario Villela Larraza escribió: al intentar reinisiar mi servicio squid ejeccuta este error pero la verdad no se que sea 2011/04/04 21:38:45| squid.conf line 757: http_access rules 2011/04/04 21:38:45| aclParseAccessLine: expecting 'allow' or 'deny', got 'rules'. 2011/04/04 21:38:45| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.0.0.10-10.0.0.100/255.255.255.0' Y si te esta dando esos errores seguramente el squid no este funcionando intenta arreglarlos el primero parece ser algun error de tipeo el segundo pone /24 en ves de /255.255.255.0 ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Mario Villela Larraza mario.villelalarr...@gmail.com Cel 0445512591926 ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] iptables + squid proxy transparente
Hola: luciomontal...@gmail.com Saludos, Miguel Villavicencio G. Date: Wed, 6 Apr 2011 15:43:22 -0500 From: mario.villelalarr...@gmail.com To: centos-es@centos.org Subject: Re: [CentOS-es] iptables + squid proxy transparente una disculpa por el tiempo de ausencia el trabajo me tapo pero ya estoy de regreso aqui anexo el contenido de squid.conf El 5 de abril de 2011 17:39, Ramón Macías Zamora ramon.mac...@raykasolutions.com escribió: podrías enviar el contenido de /etc/squid/squid.conf ? -- Ramón Macías Zamora Tecnología, Investigación y Desarrollo Guayaquil - Ecuador msn:ramon_mac...@hotmail.com skype: ramon_macias UserLinux# 180926 (http://counter.li.org) Cel:593-8-0192238 Tel:593 4 6044566 http://www.raykasolutions.com/ WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES LINUX, SOPORTE. 2011/4/5 Maximo Monsalvo max...@yahoo.com.ar On Lun 04 Abr 2011 23:44:41 Mario Villela Larraza escribió: al intentar reinisiar mi servicio squid ejeccuta este error pero la verdad no se que sea 2011/04/04 21:38:45| squid.conf line 757: http_access rules 2011/04/04 21:38:45| aclParseAccessLine: expecting 'allow' or 'deny', got 'rules'. 2011/04/04 21:38:45| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.0.0.10-10.0.0.100/255.255.255.0' Y si te esta dando esos errores seguramente el squid no este funcionando intenta arreglarlos el primero parece ser algun error de tipeo el segundo pone /24 en ves de /255.255.255.0 ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Mario Villela Larraza mario.villelalarr...@gmail.com Cel 0445512591926 ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] iptables + squid proxy transparente
Hola, 2011/4/5 Ramón Macías Zamora ramon.mac...@raykasolutions.com: No veo nada raro, en /etc/squid/squid.conf debe estar puesto: http_port 3128 transparent la palabra *transparent* es imprescindible ¿Has probado con un script de firewall más sencillo? Para ver que funciona correctamente squid primero...yo probaría con el que viene con el sistema /etc/sysconfig/iptables, pondría reglas sencillas y luego aumentaría la complejidad. Es una manera de descartar quien es el problema. -- Oscar Osta Pueyo oostap.lis...@gmail.com _kiakli_ ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] iptables + squid proxy transparente
si así esta aun así no hace el redireccionamiento entre eth1 y eth2 y la maquina cliente que tengo no obtiene navegación a internet ago ping a las dos tarjetas desde mi maquina cliente y responden las dos interfaces el servidor si tiene navegación sin problemas, la verdad ya no se ni por donde atacar a este servidor. # Squid normally listens to port 3128 http_port 3128 transparent El 4 de abril de 2011 20:59, Ramón Macías Zamora ramon.mac...@raykasolutions.com escribió: No veo nada raro, en /etc/squid/squid.conf debe estar puesto: http_port 3128 transparent la palabra *transparent* es imprescindible -- Ramón Macías Zamora Tecnología, Investigación y Desarrollo Guayaquil - Ecuador msn:ramon_mac...@hotmail.com skype: ramon_macias UserLinux# 180926 (http://counter.li.org) Cel:593-8-0192238 Tel:593 4 6044566 http://www.raykasolutions.com/ WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES LINUX, SOPORTE. El 4 de abril de 2011 20:06, Mario Villela Larraza mario.villelalarr...@gmail.com escribió: supongo que si ha de ser una restricción, pero bueno lo pego aquí para mas rápido jejeje #!/bin/bash # # # Para guardar las reglas #+ iptables-save reglas #+ iptables-restore reglas # # Miramos si tenemos un parametro en linea de comando if [ -n $1 ] [ $1 = q ] then QUIET=1 else QUIET=0 fi # Registramos el inicio del firewall #FECHA=$(date +%C%y-%m-%d %H:%M) #echo $FECHA #/usr/bin/logger -p kern.notice -t NETFILTER \ # == Iniciado Cortafuegos: $FECHA = # PARAMETRIZACION DEL SCRIPT ## ### Definimos constantes para usar en el ###+ script if [ $QUIET = 0 ]; then echo Cargando parametros... fi # Binario de iptables IPTABLES=/sbin/iptables # INTERFACES # eth1 - conectado a internet con IP FIJA EXT_IF=eth1 EXT_IP=192.168.2.10 # eth2 - conectado a LAN LAN_IF=eth2 LAN_IP=10.0.0.1 LAN_RED=10.0.0.0/24 # lo - interfaz de loopback LOO_RED=127.0.0.0/8 # cualquier red ANY_RED=0.0.0.0/0 # MAQUINAS INTERNAS IP_SERVIDOR_FTP=10.0.0.12 IP_SERVIDOR_WEB=10.0.0.13 if [ $QUIET = 0 ]; then echo Cargando modulos... fi ## ### Nos aseguramos que tenemos cargados ###+ los modulos necesarios modprobe ip_conntrack_irc modprobe ip_conntrack_ftp modprobe ip_nat_irc modprobe ip_nat_ftp if [ $QUIET = 0 ]; then echo Limpiando FW... fi ## ### Limpiamos la configuracion existente # Limpiamos (flush) las reglas $IPTABLES -F # Borramos 'cadenas' de usuario $IPTABLES -X # Ponemos a cero paquetes y contadores $IPTABLES -Z # Limpiamos las reglas de NAT $IPTABLES -t nat -F # Borramos 'cadenas' de usuario de NAT $IPTABLES -t nat -X if [ $QUIET = 0 ]; then echo Estableciendo politicas... fi ## ### Establecemos las politicas por omision ###+ de las 'cadenas' # Por omision descartamos los paquetes $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD ACCEPT # PREROUTING - NAT sobre la IP destino: normalmente desde inet hacia LAN # POSTROUTING - NAT sobre la IP origen: normalmente desde LAN hacia inet $IPTABLES -t nat -P PREROUTING ACCEPT $IPTABLES -t nat -P POSTROUTING ACCEPT # Relajamos la politica de salida #+ Dejamos salir paquetes de LAN_IP por LAN_IF $IPTABLES -A OUTPUT -o $LAN_IF -s $LAN_IP -j ACCEPT #+ Dejamos salir paquetes de EXT_IP por EXT_IF $IPTABLES -A OUTPUT -o $EXT_IF -s $EXT_IP -j ACCEPT if [ $QUIET = 0 ]; then echo - Denegacion de redes invalidas... fi ## # No admitimos desde el exterior redes locales (RFC 1918) #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 192.168.0.0/16 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 10.0.0.0/8 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 172.16.0.0/12 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 224.0.0.0/4 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 240.0.0.0/5 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $LOO_RED-j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 0.0.0.0/8 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 169.254.0.0/16 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 255.255.255.255 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $EXT_IP -j DROP # Desde el interior solo admitimos nuestra red LAN $IPTABLES -t nat -A PREROUTING -i $LAN_IF -s ! $LAN_RED -j ACCEPT if [ $QUIET = 0 ]; then echo - Denegacion de broadcast de NetBIOS... fi ## # Bloquear paquetes broadcast de NetBios salientes iptables -A FORWARD -p tcp --sport 137:139 -o $EXT_IF -j DROP iptables -A FORWARD -p udp --sport 137:139 -o $EXT_IF -j DROP iptables -A OUTPUT -p tcp
Re: [CentOS-es] iptables + squid proxy transparente
al intentar reinisiar mi servicio squid ejeccuta este error pero la verdad no se que sea 2011/04/04 21:38:45| squid.conf line 757: http_access rules 2011/04/04 21:38:45| aclParseAccessLine: expecting 'allow' or 'deny', got 'rules'. 2011/04/04 21:38:45| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.0.0.10-10.0.0.100/255.255.255.0' -- El 4 de abril de 2011 21:10, Mario Villela Larraza mario.villelalarr...@gmail.com escribió: si así esta aun así no hace el redireccionamiento entre eth1 y eth2 y la maquina cliente que tengo no obtiene navegación a internet ago ping a las dos tarjetas desde mi maquina cliente y responden las dos interfaces el servidor si tiene navegación sin problemas, la verdad ya no se ni por donde atacar a este servidor. # Squid normally listens to port 3128 http_port 3128 transparent El 4 de abril de 2011 20:59, Ramón Macías Zamora ramon.mac...@raykasolutions.com escribió: No veo nada raro, en /etc/squid/squid.conf debe estar puesto: http_port 3128 transparent la palabra *transparent* es imprescindible -- Ramón Macías Zamora Tecnología, Investigación y Desarrollo Guayaquil - Ecuador msn:ramon_mac...@hotmail.com skype: ramon_macias UserLinux# 180926 (http://counter.li.org) Cel:593-8-0192238 Tel:593 4 6044566 http://www.raykasolutions.com/ WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES LINUX, SOPORTE. El 4 de abril de 2011 20:06, Mario Villela Larraza mario.villelalarr...@gmail.com escribió: supongo que si ha de ser una restricción, pero bueno lo pego aquí para mas rápido jejeje #!/bin/bash # # # Para guardar las reglas #+ iptables-save reglas #+ iptables-restore reglas # # Miramos si tenemos un parametro en linea de comando if [ -n $1 ] [ $1 = q ] then QUIET=1 else QUIET=0 fi # Registramos el inicio del firewall #FECHA=$(date +%C%y-%m-%d %H:%M) #echo $FECHA #/usr/bin/logger -p kern.notice -t NETFILTER \ # == Iniciado Cortafuegos: $FECHA = # PARAMETRIZACION DEL SCRIPT ## ### Definimos constantes para usar en el ###+ script if [ $QUIET = 0 ]; then echo Cargando parametros... fi # Binario de iptables IPTABLES=/sbin/iptables # INTERFACES # eth1 - conectado a internet con IP FIJA EXT_IF=eth1 EXT_IP=192.168.2.10 # eth2 - conectado a LAN LAN_IF=eth2 LAN_IP=10.0.0.1 LAN_RED=10.0.0.0/24 # lo - interfaz de loopback LOO_RED=127.0.0.0/8 # cualquier red ANY_RED=0.0.0.0/0 # MAQUINAS INTERNAS IP_SERVIDOR_FTP=10.0.0.12 IP_SERVIDOR_WEB=10.0.0.13 if [ $QUIET = 0 ]; then echo Cargando modulos... fi ## ### Nos aseguramos que tenemos cargados ###+ los modulos necesarios modprobe ip_conntrack_irc modprobe ip_conntrack_ftp modprobe ip_nat_irc modprobe ip_nat_ftp if [ $QUIET = 0 ]; then echo Limpiando FW... fi ## ### Limpiamos la configuracion existente # Limpiamos (flush) las reglas $IPTABLES -F # Borramos 'cadenas' de usuario $IPTABLES -X # Ponemos a cero paquetes y contadores $IPTABLES -Z # Limpiamos las reglas de NAT $IPTABLES -t nat -F # Borramos 'cadenas' de usuario de NAT $IPTABLES -t nat -X if [ $QUIET = 0 ]; then echo Estableciendo politicas... fi ## ### Establecemos las politicas por omision ###+ de las 'cadenas' # Por omision descartamos los paquetes $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD ACCEPT # PREROUTING - NAT sobre la IP destino: normalmente desde inet hacia LAN # POSTROUTING - NAT sobre la IP origen: normalmente desde LAN hacia inet $IPTABLES -t nat -P PREROUTING ACCEPT $IPTABLES -t nat -P POSTROUTING ACCEPT # Relajamos la politica de salida #+ Dejamos salir paquetes de LAN_IP por LAN_IF $IPTABLES -A OUTPUT -o $LAN_IF -s $LAN_IP -j ACCEPT #+ Dejamos salir paquetes de EXT_IP por EXT_IF $IPTABLES -A OUTPUT -o $EXT_IF -s $EXT_IP -j ACCEPT if [ $QUIET = 0 ]; then echo - Denegacion de redes invalidas... fi ## # No admitimos desde el exterior redes locales (RFC 1918) #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 192.168.0.0/16 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 10.0.0.0/8 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 172.16.0.0/12 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 224.0.0.0/4 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 240.0.0.0/5 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $LOO_RED-j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 0.0.0.0/8 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 169.254.0.0/16 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 255.255.255.255 -j DROP #$IPTABLES -t nat -A PREROUTING
Re: [CentOS-es] iptables + squid proxy transparente
de ser eso, el problema esta a la hora de definir tu red, debe ser 10.0.0.0/24 y no como lo estas haciendo. César D. Cruz Arrunátegui - Mensaje original - De: Mario Villela Larraza mario.villelalarr...@gmail.com Para: centos-es@centos.org Enviados: Lunes, 4 de Abril 2011 21:44:41 GMT -05:00 Colombia Asunto: Re: [CentOS-es] iptables + squid proxy transparente al intentar reinisiar mi servicio squid ejeccuta este error pero la verdad no se que sea 2011/04/04 21:38:45| squid.conf line 757: http_access rules 2011/04/04 21:38:45| aclParseAccessLine: expecting 'allow' or 'deny', got 'rules'. 2011/04/04 21:38:45| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.0.0.10-10.0.0.100/255.255.255.0' -- El 4 de abril de 2011 21:10, Mario Villela Larraza mario.villelalarr...@gmail.com escribió: si así esta aun así no hace el redireccionamiento entre eth1 y eth2 y la maquina cliente que tengo no obtiene navegación a internet ago ping a las dos tarjetas desde mi maquina cliente y responden las dos interfaces el servidor si tiene navegación sin problemas, la verdad ya no se ni por donde atacar a este servidor. # Squid normally listens to port 3128 http_port 3128 transparent El 4 de abril de 2011 20:59, Ramón Macías Zamora ramon.mac...@raykasolutions.com escribió: No veo nada raro, en /etc/squid/squid.conf debe estar puesto: http_port 3128 transparent la palabra *transparent* es imprescindible -- Ramón Macías Zamora Tecnología, Investigación y Desarrollo Guayaquil - Ecuador msn:ramon_mac...@hotmail.com skype: ramon_macias UserLinux# 180926 (http://counter.li.org) Cel:593-8-0192238 Tel:593 4 6044566 http://www.raykasolutions.com/ WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES LINUX, SOPORTE. El 4 de abril de 2011 20:06, Mario Villela Larraza mario.villelalarr...@gmail.com escribió: supongo que si ha de ser una restricción, pero bueno lo pego aquí para mas rápido jejeje #!/bin/bash # # # Para guardar las reglas #+ iptables-save reglas #+ iptables-restore reglas # # Miramos si tenemos un parametro en linea de comando if [ -n $1 ] [ $1 = q ] then QUIET=1 else QUIET=0 fi # Registramos el inicio del firewall #FECHA=$(date +%C%y-%m-%d %H:%M) #echo $FECHA #/usr/bin/logger -p kern.notice -t NETFILTER \ # == Iniciado Cortafuegos: $FECHA = # PARAMETRIZACION DEL SCRIPT ## ### Definimos constantes para usar en el ###+ script if [ $QUIET = 0 ]; then echo Cargando parametros... fi # Binario de iptables IPTABLES=/sbin/iptables # INTERFACES # eth1 - conectado a internet con IP FIJA EXT_IF=eth1 EXT_IP=192.168.2.10 # eth2 - conectado a LAN LAN_IF=eth2 LAN_IP=10.0.0.1 LAN_RED=10.0.0.0/24 # lo - interfaz de loopback LOO_RED=127.0.0.0/8 # cualquier red ANY_RED=0.0.0.0/0 # MAQUINAS INTERNAS IP_SERVIDOR_FTP=10.0.0.12 IP_SERVIDOR_WEB=10.0.0.13 if [ $QUIET = 0 ]; then echo Cargando modulos... fi ## ### Nos aseguramos que tenemos cargados ###+ los modulos necesarios modprobe ip_conntrack_irc modprobe ip_conntrack_ftp modprobe ip_nat_irc modprobe ip_nat_ftp if [ $QUIET = 0 ]; then echo Limpiando FW... fi ## ### Limpiamos la configuracion existente # Limpiamos (flush) las reglas $IPTABLES -F # Borramos 'cadenas' de usuario $IPTABLES -X # Ponemos a cero paquetes y contadores $IPTABLES -Z # Limpiamos las reglas de NAT $IPTABLES -t nat -F # Borramos 'cadenas' de usuario de NAT $IPTABLES -t nat -X if [ $QUIET = 0 ]; then echo Estableciendo politicas... fi ## ### Establecemos las politicas por omision ###+ de las 'cadenas' # Por omision descartamos los paquetes $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD ACCEPT # PREROUTING - NAT sobre la IP destino: normalmente desde inet hacia LAN # POSTROUTING - NAT sobre la IP origen: normalmente desde LAN hacia inet $IPTABLES -t nat -P PREROUTING ACCEPT $IPTABLES -t nat -P POSTROUTING ACCEPT # Relajamos la politica de salida #+ Dejamos salir paquetes de LAN_IP por LAN_IF $IPTABLES -A OUTPUT -o $LAN_IF -s $LAN_IP -j ACCEPT #+ Dejamos salir paquetes de EXT_IP por EXT_IF $IPTABLES -A OUTPUT -o $EXT_IF -s $EXT_IP -j ACCEPT if [ $QUIET = 0 ]; then echo - Denegacion de redes invalidas... fi ## # No admitimos desde el exterior redes locales (RFC 1918) #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 192.168.0.0/16 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 10.0.0.0/8 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 172.16.0.0/12 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 224.0.0.0/4 -j DROP #$IPTABLES
Re: [CentOS-es] iptables + squid proxy transparente
On Lun 04 Abr 2011 23:44:41 Mario Villela Larraza escribió: al intentar reinisiar mi servicio squid ejeccuta este error pero la verdad no se que sea 2011/04/04 21:38:45| squid.conf line 757: http_access rules 2011/04/04 21:38:45| aclParseAccessLine: expecting 'allow' or 'deny', got 'rules'. 2011/04/04 21:38:45| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.0.0.10-10.0.0.100/255.255.255.0' Y si te esta dando esos errores seguramente el squid no este funcionando intenta arreglarlos el primero parece ser algun error de tipeo el segundo pone /24 en ves de /255.255.255.0 ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] iptables + squid proxy transparente
podrías enviar el contenido de /etc/squid/squid.conf ? -- Ramón Macías Zamora Tecnología, Investigación y Desarrollo Guayaquil - Ecuador msn:ramon_mac...@hotmail.com skype: ramon_macias UserLinux# 180926 (http://counter.li.org) Cel:593-8-0192238 Tel:593 4 6044566 http://www.raykasolutions.com/ WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES LINUX, SOPORTE. 2011/4/5 Maximo Monsalvo max...@yahoo.com.ar On Lun 04 Abr 2011 23:44:41 Mario Villela Larraza escribió: al intentar reinisiar mi servicio squid ejeccuta este error pero la verdad no se que sea 2011/04/04 21:38:45| squid.conf line 757: http_access rules 2011/04/04 21:38:45| aclParseAccessLine: expecting 'allow' or 'deny', got 'rules'. 2011/04/04 21:38:45| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.0.0.10-10.0.0.100/255.255.255.0' Y si te esta dando esos errores seguramente el squid no este funcionando intenta arreglarlos el primero parece ser algun error de tipeo el segundo pone /24 en ves de /255.255.255.0 ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] iptables + squid proxy transparente
Hola amigos ya hace un muy buen rato que estoy batallando con un proxy que quiero levantar pero no encuentro cual es el problema tengo un servidor con la squid levantado y un script (que anexo en este correo) con un servidor de DHCP pero no logro que las maquinas dentro de la red que pasarian por el proxy obtengan señal de internet ya revise y revise la configuracion de mi squid de echo ahorita no esta restringiendo nada, ya tengo una lista ACL que apara todas mis direcciones del squid pero aun asi no obtengo resultados diferentes. Así que acudo a ustedes para que me ayuden con este pequeño proyecto que traigo en manos esperando que todos estén bien les mando un saludo y agradesimentos de antemano. -- Mario Villela Larraza mario.villelalarr...@gmail.com Cel 0445512591926 ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] iptables + squid proxy transparente
No llegó el adjunto :( -- Ramón Macías Zamora Tecnología, Investigación y Desarrollo Guayaquil - Ecuador msn:ramon_mac...@hotmail.com skype: ramon_macias UserLinux# 180926 (http://counter.li.org) Cel:593-8-0192238 Tel:593 4 6044566 http://www.raykasolutions.com/ WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES LINUX, SOPORTE. El 4 de abril de 2011 16:35, Mario Villela Larraza mario.villelalarr...@gmail.com escribió: Hola amigos ya hace un muy buen rato que estoy batallando con un proxy que quiero levantar pero no encuentro cual es el problema tengo un servidor con la squid levantado y un script (que anexo en este correo) con un servidor de DHCP pero no logro que las maquinas dentro de la red que pasarian por el proxy obtengan señal de internet ya revise y revise la configuracion de mi squid de echo ahorita no esta restringiendo nada, ya tengo una lista ACL que apara todas mis direcciones del squid pero aun asi no obtengo resultados diferentes. Así que acudo a ustedes para que me ayuden con este pequeño proyecto que traigo en manos esperando que todos estén bien les mando un saludo y agradesimentos de antemano. -- Mario Villela Larraza mario.villelalarr...@gmail.com Cel 0445512591926 ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] iptables + squid proxy transparente
ahora si aquí esta el archivo adjunto perdón :s El 4 de abril de 2011 19:37, Ramón Macías Zamora ramon.mac...@raykasolutions.com escribió: No llegó el adjunto :( -- Ramón Macías Zamora Tecnología, Investigación y Desarrollo Guayaquil - Ecuador msn:ramon_mac...@hotmail.com skype: ramon_macias UserLinux# 180926 (http://counter.li.org) Cel:593-8-0192238 Tel:593 4 6044566 http://www.raykasolutions.com/ WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES LINUX, SOPORTE. El 4 de abril de 2011 16:35, Mario Villela Larraza mario.villelalarr...@gmail.com escribió: Hola amigos ya hace un muy buen rato que estoy batallando con un proxy que quiero levantar pero no encuentro cual es el problema tengo un servidor con la squid levantado y un script (que anexo en este correo) con un servidor de DHCP pero no logro que las maquinas dentro de la red que pasarian por el proxy obtengan señal de internet ya revise y revise la configuracion de mi squid de echo ahorita no esta restringiendo nada, ya tengo una lista ACL que apara todas mis direcciones del squid pero aun asi no obtengo resultados diferentes. Así que acudo a ustedes para que me ayuden con este pequeño proyecto que traigo en manos esperando que todos estén bien les mando un saludo y agradesimentos de antemano. -- Mario Villela Larraza mario.villelalarr...@gmail.com Cel 0445512591926 ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Mario Villela Larraza mario.villelalarr...@gmail.com Cel 0445512591926 ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] iptables + squid proxy transparente
No llega, supongo que una restricción de la lista. Podrías pegar el contenido -- Ramón Macías Zamora Tecnología, Investigación y Desarrollo Guayaquil - Ecuador msn:ramon_mac...@hotmail.com skype: ramon_macias UserLinux# 180926 (http://counter.li.org) Cel:593-8-0192238 Tel:593 4 6044566 http://www.raykasolutions.com/ WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES LINUX, SOPORTE. El 4 de abril de 2011 19:55, Mario Villela Larraza mario.villelalarr...@gmail.com escribió: ahora si aquí esta el archivo adjunto perdón :s El 4 de abril de 2011 19:37, Ramón Macías Zamora ramon.mac...@raykasolutions.com escribió: No llegó el adjunto :( -- Ramón Macías Zamora Tecnología, Investigación y Desarrollo Guayaquil - Ecuador msn:ramon_mac...@hotmail.com skype: ramon_macias UserLinux# 180926 (http://counter.li.org) Cel:593-8-0192238 Tel:593 4 6044566 http://www.raykasolutions.com/ WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES LINUX, SOPORTE. El 4 de abril de 2011 16:35, Mario Villela Larraza mario.villelalarr...@gmail.com escribió: Hola amigos ya hace un muy buen rato que estoy batallando con un proxy que quiero levantar pero no encuentro cual es el problema tengo un servidor con la squid levantado y un script (que anexo en este correo) con un servidor de DHCP pero no logro que las maquinas dentro de la red que pasarian por el proxy obtengan señal de internet ya revise y revise la configuracion de mi squid de echo ahorita no esta restringiendo nada, ya tengo una lista ACL que apara todas mis direcciones del squid pero aun asi no obtengo resultados diferentes. Así que acudo a ustedes para que me ayuden con este pequeño proyecto que traigo en manos esperando que todos estén bien les mando un saludo y agradesimentos de antemano. -- Mario Villela Larraza mario.villelalarr...@gmail.com Cel 0445512591926 ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Mario Villela Larraza mario.villelalarr...@gmail.com Cel 0445512591926 ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] iptables + squid proxy transparente
No veo nada raro, en /etc/squid/squid.conf debe estar puesto: http_port 3128 transparent la palabra *transparent* es imprescindible -- Ramón Macías Zamora Tecnología, Investigación y Desarrollo Guayaquil - Ecuador msn:ramon_mac...@hotmail.com skype: ramon_macias UserLinux# 180926 (http://counter.li.org) Cel:593-8-0192238 Tel:593 4 6044566 http://www.raykasolutions.com/ WEB SITES, HOSTINGS, DOMINIOS, MANTENIMIENTO DE EQUIPOS, REDES, SERVIDORES LINUX, SOPORTE. El 4 de abril de 2011 20:06, Mario Villela Larraza mario.villelalarr...@gmail.com escribió: supongo que si ha de ser una restricción, pero bueno lo pego aquí para mas rápido jejeje #!/bin/bash # # # Para guardar las reglas #+ iptables-save reglas #+ iptables-restore reglas # # Miramos si tenemos un parametro en linea de comando if [ -n $1 ] [ $1 = q ] then QUIET=1 else QUIET=0 fi # Registramos el inicio del firewall #FECHA=$(date +%C%y-%m-%d %H:%M) #echo $FECHA #/usr/bin/logger -p kern.notice -t NETFILTER \ # == Iniciado Cortafuegos: $FECHA = # PARAMETRIZACION DEL SCRIPT ## ### Definimos constantes para usar en el ###+ script if [ $QUIET = 0 ]; then echo Cargando parametros... fi # Binario de iptables IPTABLES=/sbin/iptables # INTERFACES # eth1 - conectado a internet con IP FIJA EXT_IF=eth1 EXT_IP=192.168.2.10 # eth2 - conectado a LAN LAN_IF=eth2 LAN_IP=10.0.0.1 LAN_RED=10.0.0.0/24 # lo - interfaz de loopback LOO_RED=127.0.0.0/8 # cualquier red ANY_RED=0.0.0.0/0 # MAQUINAS INTERNAS IP_SERVIDOR_FTP=10.0.0.12 IP_SERVIDOR_WEB=10.0.0.13 if [ $QUIET = 0 ]; then echo Cargando modulos... fi ## ### Nos aseguramos que tenemos cargados ###+ los modulos necesarios modprobe ip_conntrack_irc modprobe ip_conntrack_ftp modprobe ip_nat_irc modprobe ip_nat_ftp if [ $QUIET = 0 ]; then echo Limpiando FW... fi ## ### Limpiamos la configuracion existente # Limpiamos (flush) las reglas $IPTABLES -F # Borramos 'cadenas' de usuario $IPTABLES -X # Ponemos a cero paquetes y contadores $IPTABLES -Z # Limpiamos las reglas de NAT $IPTABLES -t nat -F # Borramos 'cadenas' de usuario de NAT $IPTABLES -t nat -X if [ $QUIET = 0 ]; then echo Estableciendo politicas... fi ## ### Establecemos las politicas por omision ###+ de las 'cadenas' # Por omision descartamos los paquetes $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD ACCEPT # PREROUTING - NAT sobre la IP destino: normalmente desde inet hacia LAN # POSTROUTING - NAT sobre la IP origen: normalmente desde LAN hacia inet $IPTABLES -t nat -P PREROUTING ACCEPT $IPTABLES -t nat -P POSTROUTING ACCEPT # Relajamos la politica de salida #+ Dejamos salir paquetes de LAN_IP por LAN_IF $IPTABLES -A OUTPUT -o $LAN_IF -s $LAN_IP -j ACCEPT #+ Dejamos salir paquetes de EXT_IP por EXT_IF $IPTABLES -A OUTPUT -o $EXT_IF -s $EXT_IP -j ACCEPT if [ $QUIET = 0 ]; then echo - Denegacion de redes invalidas... fi ## # No admitimos desde el exterior redes locales (RFC 1918) #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 192.168.0.0/16 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 10.0.0.0/8 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 172.16.0.0/12 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 224.0.0.0/4 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 240.0.0.0/5 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $LOO_RED-j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 0.0.0.0/8 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 169.254.0.0/16 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s 255.255.255.255 -j DROP #$IPTABLES -t nat -A PREROUTING -i $EXT_IF -s $EXT_IP -j DROP # Desde el interior solo admitimos nuestra red LAN $IPTABLES -t nat -A PREROUTING -i $LAN_IF -s ! $LAN_RED -j ACCEPT if [ $QUIET = 0 ]; then echo - Denegacion de broadcast de NetBIOS... fi ## # Bloquear paquetes broadcast de NetBios salientes iptables -A FORWARD -p tcp --sport 137:139 -o $EXT_IF -j DROP iptables -A FORWARD -p udp --sport 137:139 -o $EXT_IF -j DROP iptables -A OUTPUT -p tcp --sport 137:139 -o $EXT_IF -j DROP iptables -A OUTPUT -p udp --sport 137:139 -o $EXT_IF -j DROP if [ $QUIET = 0 ]; then echo Activando NAT... fi ## # Activamos el bit de forward echo 1 /proc/sys/net/ipv4/ip_forward # Enmascaramos la salida de la LAN $IPTABLES -t nat -A POSTROUTING -s $LAN_RED -o $EXT_IF -j MASQUERADE if [ $QUIET = 0 ]; then echo Accesos a la maquina local permitidos... fi ## ### Permitimos
